डच नेशनल साइबर सिक्योरिटी सेंटर की कार्रवाई और 1.7 करोड़ डिवाइस: व्यवसायों को किसके लिए तैयार रहना चाहिए

डच पुलिस (Politie) और नेशनल साइबर सिक्योरिटी सेंटर (NCSC) ने हाल ही में एक विशाल बॉटनेट इंफ्रास्ट्रक्चर के खिलाफ एक समन्वित हमला किया। इस ऑपरेशन में नीदरलैंड के भीतर स्थित 200 से अधिक सर्वरों को जब्त किया गया। ये सर्वर एक ऐसे नेटवर्क के बैकएंड के रूप में कार्य करते थे जिसने दुनिया भर में 1.7 करोड़ उपकरणों को अपना गुलाम बना लिया था। इस कार्रवाई का पैमाना हर उस CISO के लिए एक चेतावनी है जो पेरिमीटर डिफेंस (सीमा सुरक्षा) के लिए पारंपरिक IP प्रतिष्ठा (IP reputation) पर निर्भर है।

मैंने पिछले दो दशकों में कई बॉटनेट देखे हैं, लेकिन इस विशिष्ट नेटवर्क की प्रकृति अलग है। यह एक बढ़ते चलन का हिस्सा है जहां वैध सेवाएं और दुर्भावनापूर्ण इरादे एक ही आर्किटेक्चरल स्पेस में मौजूद होते हैं। रिपोर्टें इस इंफ्रास्ट्रक्चर को एक रेजिडेंशियल प्रॉक्सी प्रदाता, Asocks से जोड़ती हैं। Asocks और HUMAN सातोरी टीम द्वारा पहचाने गए PROXYLIB अभियान के बीच का संबंध खतरे के मॉडल में एक स्पष्ट बदलाव को दर्शाता है। हमलावरों को अब अपने स्वयं के कस्टम डिलीवरी सिस्टम बनाने की आवश्यकता नहीं है जब वे व्यावसायिक सदस्यता के माध्यम से लाखों स्वच्छ, रेजिडेंशियल IP तक पहुंच खरीद सकते हैं।

रेजिडेंशियल प्रॉक्सी बॉटनेट की कार्यप्रणाली

जोखिम को समझने के लिए, आपको यह समझना होगा कि ये 1.7 करोड़ डिवाइस नेटवर्क में कैसे शामिल हुए। PROXYLIB अभियान में, मैलवेयर अक्सर LumiApps जैसे प्रॉक्सीवेयर SDK के माध्यम से एंड्रॉइड डिवाइस पर पहुंचता था। ये SDK अक्सर निर्दोष दिखने वाले एप्लिकेशन में एम्बेडेड होते हैं। एक बार जब उपयोगकर्ता ऐप इंस्टॉल कर लेता है, तो डिवाइस Asocks नेटवर्क में एक नोड बन जाता है। उपयोगकर्ता की बैंडविड्थ किसी तीसरे पक्ष को बेच दी जाती है। जबकि उपयोगकर्ता इसे कुछ पैसे कमाने या मुफ्त ऐप एक्सेस करने के तरीके के रूप में देख सकता है, वास्तविकता यह है कि उनका डिवाइस अब दुर्भावनापूर्ण ट्रैफ़िक की सुविधा प्रदान करता है।

Asocks प्लेटफॉर्म ने इन उपकरणों तक पहुंच के लिए प्रति माह $5 जितनी कम कीमत का विज्ञापन दिया। प्रवेश की यह कम बाधा हमले के अर्थशास्त्र को बदल देती है। एंटरप्राइज नेटवर्क के ऑडिटिंग के मेरे अनुभव में, मैं क्रेडेंशियल स्टफिंग और स्क्रैपिंग के प्रयासों की एक महत्वपूर्ण मात्रा देखता हूं। जब ये प्रयास डेटा सेंटर से उत्पन्न होते हैं, तो उन्हें ब्लॉक करना आसान होता है। जब वे 1.7 करोड़ अद्वितीय रेजिडेंशियल उपकरणों से उत्पन्न होते हैं, तो आपके पारंपरिक WAF नियम एक दायित्व बन जाते हैं। एक रेजिडेंशियल डिवाइस की डिफ़ॉल्ट रूप से उच्च प्रतिष्ठा होती है क्योंकि वह एक वैध ग्राहक की तरह दिखता है।

रेजिडेंशियल ट्रस्ट (आवासीय भरोसे) की धारणा को चुनौती देना

आज साइबर सुरक्षा में सबसे खतरनाक धारणा यह है कि रेजिडेंशियल ISP से आने वाला ट्रैफ़िक डेटा सेंटर या VPN के ट्रैफ़िक की तुलना में स्वाभाविक रूप से सुरक्षित है। वर्षों से, सुरक्षा विक्रेताओं ने इस विचार को बेचा है कि "रेजिडेंशियल" का अर्थ "मानव" है। इस कार्रवाई ने साबित कर दिया कि 1.7 करोड़ रेजिडेंशियल डिवाइस एक आपराधिक बुनियादी ढांचे का हिस्सा थे। मेरा तर्क है कि हमें अपने ट्रस्ट मॉडल को उलटना होगा। एक रेजिडेंशियल IP पता अब एक उच्च-जोखिम वाला संकेत है जब वह स्वचालित तरीके से व्यवहार करता है।

अधिकांश पुराने सुरक्षा आर्किटेक्चर IP-आधारित दर सीमा (rate limiting) का उपयोग करते हैं। यदि कोई IP बहुत अधिक अनुरोध भेजता है, तो सिस्टम उसे ब्लॉक कर देता है। हालांकि, 1.7 करोड़ उपकरणों के पूल के साथ, एक हमलावर हर एक अनुरोध के लिए IP को घुमा (rotate) सकता है। कोई भी अकेला IP कभी भी दर सीमा की सीमा को नहीं छूता है। हमला बुनियादी निगरानी उपकरणों के लिए अदृश्य रहता है। पहुंच की यह विषमता हमलावरों को बड़े पैमाने पर संचालन करते समय गोपनीयता बनाए रखने की अनुमति देती है। यदि आपकी रक्षा रणनीति "खराब" IP की पहचान करने पर टिकी है, तो आप एक ऐसी लड़ाई लड़ रहे हैं जिसे आप पहले ही हार चुके हैं।

उद्यम (एंटरप्राइज) के लिए आर्किटेक्चरल निहितार्थ

नीदरलैंड में 200 सर्वरों को हटाने से अस्थायी राहत मिलती है, लेकिन अंतर्निहित भेद्यता बनी हुई है। डिवाइस अभी भी सक्रिय हैं। मैलवेयर अभी भी लाखों टैबलेट, स्मार्टफोन और IoT उपकरणों पर मौजूद है। आपके आर्किटेक्चर के लिए इसका मतलब यह है कि पेरिमीटर अब एक फिल्टर नहीं है -- यह एक छलनी है।

हमें व्यवहारिक सत्यापन (behavioral verification) के मॉडल की ओर बढ़ना चाहिए। "यह अनुरोध कहां से आ रहा है?" पूछने के बजाय, सिस्टम को यह पूछना चाहिए कि "यह अनुरोध क्या कर रहा है?"। इसके लिए एप्लिकेशन-लेयर व्यवहार के गहन निरीक्षण की आवश्यकता होती है। यदि कोई रेजिडेंशियल IP किसी API को ऐसी आवृत्ति या क्रम में एक्सेस कर रहा है जो विशिष्ट मानवीय व्यवहार से मेल नहीं खाता है, तो सिस्टम को एक चुनौती (challenge) ट्रिगर करनी चाहिए, जैसे कि प्रूफ-ऑफ-वर्क या एक परिष्कृत CAPTCHA।

आंतरिक सुरक्षा के लिए माइक्रोसैगमेंटेशन ही एकमात्र व्यवहार्य मार्ग है। यदि आपके नेटवर्क पर कोई उपकरण PROXYLIB जैसे बॉटनेट का हिस्सा बन जाता है, तो उसका प्राथमिक लक्ष्य अक्सर लेटरल मूवमेंट या डेटा चोरी करना होता है। कई कॉर्पोरेट वातावरणों में, गेस्ट वाई-फाई पर एक संक्रमित स्मार्टफोन का आंतरिक सर्वर VLAN तक सीधा रास्ता होता है। मैंने ऐसे पेंटेस्ट किए हैं जहां एक ही समझौता किए गए IoT प्रिंटर ने डोमेन कंट्रोलर को डंप करने के लिए आवश्यक आधार प्रदान किया। आपको अपने नेटवर्क के हर डिवाइस को 1.7 करोड़ मजबूत बॉटनेट में एक संभावित नोड के रूप में मानना चाहिए।

IoT और अनपैच्ड एज डिवाइसेस का छिपा हुआ जोखिम

NCSC ने नोट किया कि बॉटनेट अक्सर अनपैच्ड एज डिवाइसेस और कमजोर पासवर्ड के माध्यम से पहुंच प्राप्त करते हैं। यह वह बुनियादी स्वच्छता है जिसे कई संगठन अभी भी अनदेखा करते हैं। राउटर और IoT डिवाइस सबसे कमजोर कड़ियाँ हैं क्योंकि उनमें अक्सर प्रबंधित वर्कस्टेशन पर पाए जाने वाले टेलीमेट्री की कमी होती है। एक लैपटॉप में EDR एजेंट होता है; एक स्मार्ट थर्मोस्टेट में नहीं।

CISO के रूप में अपने समय में, मैंने पाया कि सुरक्षा का सबसे कठिन हिस्सा जटिल जीरो-डे एक्सप्लोइट नहीं है। यह हजारों छोटे, अप्रबंधित उपकरण हैं जो धीरे-धीरे नेटवर्क पर जमा हो जाते हैं। प्रत्येक एक संभावित प्रॉक्सी नोड है। जब डच अधिकारियों ने Asocks बैकएंड को बंद किया, तो उन्होंने असुरक्षित उपकरणों को ठीक नहीं किया। उन्होंने केवल कमांड-एंड-कंट्रोल (C2) तंत्र को हटाया। नए खतरे के खिलाड़ी अनिवार्य रूप से अगला नेटवर्क बनाने के लिए इन्हीं कमजोरियों को स्कैन करेंगे।

अगले 12 महीनों के लिए कार्य योजना

इस परिवेश में जीवित रहना इस बात पर निर्भर करता है कि आप हमलावरों द्वारा अपने बुनियादी ढांचे को घुमाने की गति से तेज चलें। मैं अगले वर्ष के दौरान विशाल प्रॉक्सी बॉटनेट द्वारा उत्पन्न प्रणालीगत जोखिम को दूर करने के लिए CISO और CTO के लिए निम्नलिखित कदमों की सिफारिश करता हूं।

• बाहरी-सामना करने वाले IP प्रतिष्ठा नियमों का ऑडिट करें: अपने WAF और बॉट-मिटिगेशन सेटिंग्स की समीक्षा करें। यदि आपने रेजिडेंशियल IP श्रेणियों को श्वेतसूची (whitelist) में डाला है या यदि आप उनके साथ कम जांच करते हैं, तो उन नियमों को तुरंत हटा दें। स्रोत IP प्रतिष्ठा की परवाह किए बिना "हमेशा सत्यापित करें" दृष्टिकोण लागू करें।
• एप्लिकेशन-लेयर फिंगरप्रिंटिंग लागू करें: ऐसे टूल तैनात करें जो स्वचालित ब्राउज़र और बॉट को उनके IP पते के बजाय उनके निष्पादन पैटर्न के आधार पर पहचान सकें। TLS हैंडशेक और HTTP हेडर में विसंगतियों की तलाश करें।
• सख्त माइक्रोसैगमेंटेशन लागू करें: उत्पादन वातावरण से IoT और गेस्ट उपकरणों को अलग करें। जीरो ट्रस्ट आर्किटेक्चर का उपयोग करें जहां प्रत्येक आंतरिक कनेक्शन के लिए स्पष्ट प्रमाणीकरण और प्राधिकरण की आवश्यकता होती है। एक समझौता किए गए स्मार्टफोन में आंतरिक नेटवर्क को स्कैन करने की क्षमता नहीं होनी चाहिए।
• कॉर्पोरेट संपत्तियों पर प्रॉक्सीवेयर के लिए स्कैन करें: ज्ञात प्रॉक्सीवेयर SDK और उन ऐप्स को स्कैन करने के लिए EDR और MDM टूल का उपयोग करें जो बैंडविड्थ साझा करने के लिए "निष्क्रिय आय" प्रदान करते हैं। एक नीति बनाएं जो कॉर्पोरेट डेटा तक पहुंचने वाले किसी भी उपकरण पर इन अनुप्रयोगों को स्पष्ट रूप से प्रतिबंधित करती है।
• एज क्रेडेंशियल बदलें और फर्मवेयर अपडेट करें: दूरस्थ कर्मचारियों द्वारा उपयोग किए जाने वाले होम-ऑफिस राउटर सहित सभी एज उपकरणों का व्यापक ऑडिट करें। सुनिश्चित करें कि वे नवीनतम फर्मवेयर पर हैं और डिफ़ॉल्ट पासवर्ड जटिल, अद्वितीय स्ट्रिंग्स में बदल दिए गए हैं।
• प्रॉक्सी पैटर्न के लिए आउटबाउंड ट्रैफ़िक की निगरानी करें: ज्ञात प्रॉक्सी प्रदाता डोमेन या बैकएंड इंफ्रास्ट्रक्चर के लिए असामान्य आउटबाउंड कनेक्शन की तलाश करें। कम-शक्ति वाले IoT डिवाइस से आउटबाउंड ट्रैफ़िक की बड़ी मात्रा समझौते का एक स्पष्ट संकेतक है।

इंफ्रास्ट्रक्चर लचीलेपन की एक नई वास्तविकता

डच अधिकारियों ने इस विशिष्ट बॉटनेट को खत्म करके वैश्विक समुदाय की सेवा की है। हालांकि, हमें इसे लंबे समय तक चलने वाले युद्ध में एक एकल लड़ाई के रूप में देखना चाहिए। इसमें शामिल 1.7 करोड़ उपकरण एक विशाल सतह क्षेत्र का प्रतिनिधित्व करते हैं जो अगले अभियान के लिए असुरक्षित बना हुआ है।

आर्किटेक्चर ही एकमात्र स्थायी समाधान है। आप दुनिया के हर डिवाइस को पैच नहीं कर सकते, और आप हर मैलवेयर संक्रमण को नहीं रोक सकते। हालांकि, आप अपने सिस्टम को इस तरह से डिज़ाइन कर सकते हैं कि एक समझौता आपदा का कारण न बने। प्रतिष्ठा के बजाय व्यवहार पर और पेरिमीटर के बजाय सेगमेंटेशन पर ध्यान केंद्रित करके, आप एक ऐसा नेटवर्क बनाते हैं जो तब भी लचीला बना रहता है जब दुनिया 1.7 करोड़-नोड वाले बॉटनेट से भरी होती है।

स्रोत:

• Dutch National Cyber Security Center (NCSC)
• Politie (Dutch National Police)
• HUMAN Satori Threat Intelligence Team
• NL Times

अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है और पेशेवर साइबर सुरक्षा ऑडिट या घटना प्रतिक्रिया सेवा की जगह नहीं लेता है।